Datenschutzbeauftragter im Gesundheitsbereich

Eine gute und nachhaltige Beziehung basiert auf Vertrauen. Teil dieser Vertrauensbasis ist, dass Ihr Patient, Ihr Kunde oder auch Ihr Mitarbeiter seine persönlichen Informationen in guten Händen weiß und diese innerhalb Ihrer Einrichtung geschützt sind. Sie sind somit verantwortlich für einen gewissenhaften Umgang mit den personenbezogenen Daten. Gerade für Einrichtungen im Gesundheitsbereich, die tagtäglich zahlreiche und zudem sehr sensible Daten verarbeiten, muss der Schutz der Daten zu jedem Zeitpunkt gewährleistet sein.

Die EU-Datenschutzgrundverordnung (DSGVO) regelt auf europäischer Ebene die entsprechenden Anforderungen an die Datenverarbeitung für Unternehmen und schützt damit die Grundrechte und Grundfreiheiten natürlicher Personen – Ihrer Patienten, Kunden und Mitarbeiter!

Das setzt voraus, dass Ihre betroffenen Personen umfassend über die Verarbeitungen in Ihrem Unternehmen informiert werden. Dafür müssen Sie jedoch alle Datenverarbeitungsvorgänge in Ihrem Unternehmen kennen und auf Rechtmäßigkeit analysieren. Durch klare interne Regelungen sind zusätzlich – orientiert am Schutzbedarf – entsprechende Sicherheitsmaßnahmen zu definieren und zu ergreifen, die die Einsichtnahme und Zugriffsmöglichkeiten durch Unbefugte verhindern.

Auch berufsrechtlich haben der Gesetzgeber und die Kassenärztlichen Vereinigungen strenge Maßstäbe und Anforderungen an die Sicherheit und Transparenz von IT-Systemen in der Praxis aufgestellt.

Der Datenschutzbeauftragte berät und unterstützt Sie bei der Umsetzung der gesetzlichen Anforderungen und begleitet Sie als den Verantwortlichen für die Datenverarbeitung in sämtlichen Datenschutzfragen. Zudem ist er Anlaufstelle bei Anfragen der Aufsichtsbehörden und kann von Betroffenen mit der Wahrnehmung der eigenen Rechte zu Rate gezogen werden. Er entlastet Sie von dem Teil Ihrer Aufgaben, die ein spezifisches rechtliches Know-How erfordern und unterstützt Sie kompetent in den nicht ausbleibenden Auseinandersetzungen mit Leistungsträgern und Dienstleistern, aber auch Patienten und deren Anwälten.

Ist Ihre Einrichtung zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet?

Analysieren Sie Ihre Einrichtung und beantworten Sie folgende Fragen:

  1. Erfordert Ihre berufliche Kerntätigkeit eine umfangreiche Datenverarbeitung bzgl. Ihrer Patienten und Mitarbeiter?
    Die Pflicht zu Benennung eines Datenschutzbeauftragten haben Sie als Verantwortlicher dann, wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten (gem. Art. 9 DSGVO) besteht. Besondere Kategorien von personenbezogenen Daten sind u.a. Gesundheitsdaten, die im Rahmen der Versorgung und Behandlung im Gesundheits- und Sozialbereich verarbeitet werden.Selbstverständlich ist die Ausübung der Heilkunde die Kerntätigkeit Ihres medizinischen Handelns. Allerdings bestehen im Gesundheitswesen sehr umfangreiche Dokumentations-, Abrechnungs- und Aufbewahrungspflichten, deren Grundlage die Verarbeitung umfangreicher Daten bildet. Ein „Verantwortlicher“ – so die Bezeichnung im Datenschutzrecht – kann durchaus neben der reinen medizinischen Behandlung mehrere Kerntätigkeiten haben. So spricht bereits dem Wortlaut nach Einiges dafür, dass medizinische Einrichtungen, in denen regelmäßig und umfangreich besonders geschützte Patienten- bzw. Gesundheitsdaten verarbeitet werden, einen Datenschutzbeauftragten benennen müssen.
  2. Beschäftigen Sie in Ihrer Einrichtung in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten?
    In diesem Fall sind Sie allein aufgrund der Beschäftigtenanzahl aufgrund einer spezifischen Anforderung des deutschen Datenschutzrechtes zur Benennung eines Datenschutzbeauftragen verpflichtet.
  3. Setzen Sie in Ihrem Unternehmen Datenverarbeitungssysteme mit einem erhöhten Risiko für die Mitarbeiter oder Patienten ein – verarbeiten Sie bspw. biometrische oder genetische Daten, Videoaufzeichnungen oder nutzen Sie Dienstleister? Dann ist oft eine sogenannte Datenschutzfolgeabschätzung nötig!
    Sie sind auch dann zur Benennung verpflichtet (unabhängig von Punkt 1 und 2), wenn Sie in Ihrer Einrichtung Datenverarbeitungen vornehmen, die einer Datenschutzfolgeabschätzung unterliegen. Eine Datenschutzfolgeabschätzung ist erforderlich, wenn eine Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Beispielhaft ist eine Datenschutzfolgeabschätzung hinsichtlich der Telemedizinlösungen zur detaillierten Bearbeitung von Krankheitsdaten notwendigerweise durchzuführen.

Wir beraten Sie gern persönlich, hinsichtlich der Erforderlichkeit zur Benennung eines Datenschutzbeauftragten.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde des jeweiligen Bundeslandes zwingend mitzuteilen, so dass eine behördliche Kontrolle kaum noch Aufwand bedeuten wird.

Interner oder externer Datenschutzbeauftragter?

Der Datenschutzbeauftragte kann sowohl Beschäftigter Ihrer Einrichtung sein als auch extern bestellt werden. Die DSGVO bestimmt insoweit lediglich, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der ihm obliegenden Aufgaben benannt wird. Letztlich sollte der Datenschutzbeauftragte stets unabhängig und mit einem gewissen Durchsetzungsvermögen agieren, um seine Aufgaben erfüllen zu können. Der Inhaber oder Geschäftsführer der Einrichtung darf übrigens genauso wenig wie der IT-Dienstleister zugleich Datenschutzbeauftragter sein.

Ist die Benennung eines Datenschutzbeauftragten verpflichtend, dann sollten vor der Benennung eines Mitarbeiters als interner Datenschutzbeauftragter einige Besonderheiten berücksichtigt werden. Sie werden einen erheblichen finanziellen und zeitlichen Aufwand haben, um diesen Mitarbeiter fachlich zu schulen. Der Beschäftigte hat einen Anspruch auf Schulung, Unterstützung und genießt zudem während der Zeit seiner Benennung und für die Dauer von einem Jahr nach deren Ende einen Sonderkündigungsschutz. Das Arbeitsverhältnis kann in dieser Zeit also nicht wirksam durch ordentliche Kündigung beendet werden.

Datenschutz auch ohne DSB einzuhalten

Auch ohne Pflicht zur Bestellung eines Datenschutzbeauftragten müssen die medizinischen Einrichtungen, die nach der DSGVO bestehenden Pflichten erfüllen. Angesichts der erheblichen inhaltlichen Anforderungen und der Sensibilität der Daten im Gesundheitsbereich, kann die Bestellung eines Datenschutzbeauftragten auch ohne zwingende gesetzliche Verpflichtung sinnvoll sein oder eine Kombination aus interner/externer Bestellung und fachlicher Beratung.

Ihre Ecovis-Berater helfen Ihnen

Die Rechtsanwälte und Datenschutzberater der Ecovis betreuen bereits seit vielen Jahren Mandanten bei der Einhaltung der datenschutzrechtlichen Vorgaben und sind als externe betriebliche Datenschutzbeauftragte bestellt. Für Fragen zu unserem Leistungsangebot im Bereich Datenschutz kontaktieren Sie uns bitte per Email an dsb-nord@ecovis.com oder dsb-muenchen@ecovis.com.

Weitere Informationen zum Thema Datenschutz

Wir haben weitere Informationen zur Datenschutzgrundverordnung auf https://www.ecovis.com/datenschutzberater zusammengestellt. Dort finden Sie auch Checklisten und Arbeitshilfen zum kostenfreien Download.

Beratung